Как включить отображение информации о предыдущих попытках входа в Windows 10
Следите за успешными и неудачными попытками входа в систему при авторизации в Windows 10.
Windows 10 имеет много функций безопасности для защиты учетной записи и данных от посторонних глаз. Пользователь получает такие функции, как защита паролем, двухфакторная аутентификация и использование PIN в качестве вспомогательного метода аутентификации. Все они значительно усложняют задачу взлома аккаунта.
Тем не менее, несмотря на все предлагаемые меры безопасности, при использовании компьютера в условиях, когда другие пользователи имеют физический доступ к устройству, бывает очень сложно определить, использовался ли компьютер посторонними лицами.
К счастью, при использовании локального аккаунта в Windows 10, у пользователей есть возможность просмотреть информацию о предыдущих попытках авторизации (как успешных, так и потерпевших неудачу). Эти данные позволяют выяснить, пытался ли кто-либо получить доступ к компьютеру без авторизации. На их основе можно сделать вывод о необходимости усиления защиты устройства.
В данном руководстве приведем все шаги использования редактора групповых политик и реестра для отображения информации о последних входах и неудачных попытках доступа к аккаунту с момента последнего интерактивного входа в систему.
Как включить отображение информации о последних попытках входа с помощью локальных групповых политик
Пользователи Windows 10 Pro, Enterprise или Education могут использовать редактор локальной групповой политики для включения отображения информации о последних попытках входа.
Для того нужно проделать следующие шаги:
- Нажмите сочетание клавиш Windows + R для открытия диалогового окна “Выполнить”.
- Введите gpedit.msc и нажмите OK для открытия редактора локальных групповых политик.
- Перейдите по пути: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Параметры входа Windows
- В правой области выберите политику под названием “Отображать при входе пользователя сведения о предыдущих попытках входа”
- В верхней левой области выберите опция “Включено”, чтобы активировать политику.
- Нажмите “Применить”.
- Нажмите “ОК”, чтобы завершить задание.
В любое время вы можете отменить изменения, выполнив те же шаги, но на 5 шаге нужно выбрать опцию “Не задано”.
Как включить отображение информации о последних попытках входа с помощью реестра
При использовании Windows 10 Домашняя пользователь не имеет доступа к редактору локальной групповой политики. Тем не менее, таких же результатов можно добиться при использовании редактора реестра.
Важно: Редактирование реестра может привести к необратимому нарушению работы системы, если вы сделаете что-то неправильно. Рекомендуется сделать полную резервную копию компьютера перед началом работы.
- Нажмите сочетание клавиш Windows + R для открытия диалогового окна “Выполнить”.
- Введите regedit и нажмите OK для открытия редактора реестра.
- Перейдите по пути: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- Выберите раздел System, нажмите правой кнопкой мыши и выберите опцию “Создать > Параметр DWORD (32 бита)”
.
- Назовите параметр DWORD DisplayLastLogonInfo и нажмите Enter.
- Дважды кликните по созданному параметру DWORD и измените значение с 0 на 1.
- Закройте редактор реестра, чтобы завершить задание.
В любое время вы можете отменить изменения, выполнив те же шаги, но на 6 шаге нужно изменить значение DWORD с 1 на 0.
После выполнения всех этих шагов, вы можете перезагрузить компьютер. После того при попытке входа в локальную учетную запись вы увидите первое сообщение об интерактивном входе в учетную запись.
Во время последующих авторизаций пользователь увидит информацию о предыдущих попытках входа.
Заключение
Хотя данная функция не позволит предотвратить несанкционированный доступ к компьютеру, вы по крайней мере узнаете, что кто-то смог взломать локальный аккаунт или пытался безуспешно угадать ваш пароль.
Несмотря на то, что данное руководство предназначено для Windows 10, функция отображения информации о последних входах давно присутствует в системах Windows, а значит эти шаги должны также сработать в Windows 7 и Windows 8.1.
Аудит события входа пользователей в Windows
16.11.2022
itpro
Active Directory, PowerShell, Windows 10, Windows Server 2019
комментария 2
При расследовании различных инцидентов администратору необходимо получить информацию кто и когда заходил на определенный компьютер Windows. Историю входов пользователя в доменной сети можно получить из журналов контроллеров домена. Но иногда проще получить информацию непосредсвенно из логов компьютера. В этой статье мы покажем, как получить и проанализировать историю входа пользователей на компьютер/сервер Windows. Такая статистика поможет вам ответить на вопрос “Как в Windows проверить кто и когда использовал этот компьютере”.
Настройка политики аудита входа пользователей в Windows
Сначала нужно включить политик аудита входа пользователей. На отдельностоящем компьютере для настройки параметров локальной групповой политики используется оснастка gpedit.msc. Если вы хотите включить политику для компьютеров в домене Active Directorty, нужно использовать редактор доменных GPO ( gpmc.msc ).
- Запустите консоль GPMC, создайте новую GPO и назначьте ее на Organizational Units (OU) с компьютерами и / или серверами, для которых вы хотите включить политику аудита событий входа;
- Откройте объект GPO и перейдите в раздел Computer Configuration -> Policies -> Windows Settings -> Security Settings –> Advanced Audit Policy Configuration -> Audit Policies -> Logon/Logoff;
- Включите две политики аудита Audit Logon и Audit Logoff. Это позволит отслеживать как события входа, так и события выхода пользователей. Если вы хотите отслеживать только успешные события входа, включите в настройках политик только опцию Success;
Поиск событий входа пользователей в журнале событий Windows
После того как вы включили политики аудита входа, при каждом входе пользователя в Windows в журнале Event Viewer будет появляться запись о входе. Посмотрим, как она выглядит.
- Откройте оснастку Event Viewer ( eventvwr.msc );
- Разверните секцию Windows Logs и выберите журнал Security;
- Щелкните по нему правой клавишей и выберите пункт Filter Current Log;
- В поле укажите ID события 4624 и нажмите OK;
- В окне события останутся только события входа пользователей, системных служб с описанием An account was successfully logged on ;
- В описании события указано имя и домен пользователя, вошедшего в систему:
New Logon: Security ID: WINITPRO\a.khramov Account Name: a.khramov Account Domain: WINITPRO
Ниже перечислены другие полезные EventID:
Event ID | Описание |
4624 | A successful account logon event |
4625 | An account failed to log on |
4648 | A logon was attempted using explicit credentials |
4634 | An account was logged off |
4647 | User initiated logoff |
Если полистать журнал событий, можно заметить, что в нем присутствуют не только события входа пользователей на компьютер. Здесь также будут события сетевого доступа к этому компьютеру (при открытии по сети общих файлов или печати на сетевых принтерах), запуске различных служб и заданий планировщика и т.д. Т.е. очень много лишний событий, которые не относятся ко входу локального пользователя. Чтобы выбрать только события интерактивного входа пользователя на консоль компьютера, нужно дополнительно сделать выборку по значению параметра Logon Type. В таблице ниже перечислены коды Logon Type.
Код Logon Type | Описание |
---|---|
0 | System |
2 | Interactive |
3 | Network |
4 | Batch |
5 | Service |
6 | Proxy |
7 | Unlock |
8 | NetworkCleartext |
9 | NewCredentials |
10 | RemoteInteractive |
11 | CachedInteractive |
12 | CachedRemoteInteractive |
13 | CachedUnlock |
При удаленном подключении к рабочему столу компьютера по RDP, в журнале событий появится записи с Logon Type 10 или 3. Подробнее об анализе RDP логов в Windows.
В соответствии с этой таблицей событие локального входа пользователя на компьютер должно содержать Logon Type: 2.
Этот код событий появляется при автоматическом входе в Windows.
Для фильтрации события входа по содержать Logon Type лучше использовать PowerShell.
Анализ событий входа пользователей в Windows с помощью PowerShell
Допустим, наша задача получить информацию о том, какие пользователи входили на этот компьютер за последнее время. Нам интересует именно события интерактивного входа (через консоль) с LogonType =2 . Для выбора события из журналов Event Viewer мы воспользуемся командлетом Get-WinEvent.
Следующий PowerShell скрипт выведет история входа пользователей на текущий компьютер и представит ее в виде графической таблицы Out-GridView.
Если нужно выбрать события входа за последние несколько дней, можно добавить pipe с таким условием:
Командлет Get-WinEvent позволяет получить информацию с удаленных компьютеров. Например, чтобы получить историю входов с двух компьютеров, выполните следующий скрипт:
‘msk-comp1’, ‘msk-comp2’ |
ForEach-Object Get-WinEvent -ComputerName $_ -FilterXml $query | Select-Object $properties
>
Если протокол RPC закрыт между компьютерами, вы можете получить данные с удаленных компьютеров с помощью PowerShell Remoting командлета Invoke-Command:
Предыдущая статья Следующая статья
Как посмотреть, кто и когда входил в систему
Вы когда-нибудь хотели следить за тем, кто и когда входил в систему, установленную на вашем компьютере. На профессиональных изданиях Windows специально для этого существует политика аудита входа, о которой мы сейчас и поговорим.
«Аудит событий входа в систему» отслеживает как локальные, так и сетевые входы. При каждом входе определяется учетная запись пользователя и время, в которое состоялся вход. Также вы сможете узнать, когда пользователь вышел из системы.
Включаем «Аудит входа в систему»
Во-первых, откройте «Редактор локальной групповой политики» – откройте меню «Пуск», в поисковую строку введите gpedit.msc и нажмите Enter.
В левой части окна проследуйте по следующему пути: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита.
Дважды кликните по политике «Аудит событий входа в систему» в правой части окна. В диалоговом окне «Свойства» отметьте галочкой параметр «Успех» для того, чтобы позволить отслеживание успешных входов в систему. Также вы можете включить параметр «Отказ» – так вы позволите отслеживание неудачных попыток входа.
Просматриваем события входа в систему
После включения этого параметра, Windows начнет регистрировать (в журнал безопасности) все события входа в систему, в том числе имя пользователя и время. Чтобы увидеть эти события, запустите инструмент «Просмотр событий» – откройте меню «Пуск», в строку поиска введите текст «Просмотр событий» и нажмите клавишу Enter.
Далее перейдите в «Журналы Windows» и выберите категорию «Безопасность». Нас интересуют события с кодом 4624 – это события успешного входа в систему.
Чтобы увидеть больше информации, включая имя учетной записи пользователя, входившего в систему, дважды щелкните по событию. Прокручивая вниз текстовое поле, вы увидите всю необходимую информацию.
Если вы хотите, чтобы в журнале безопасности отображались исключительно события входа, нажмите на кнопку «Фильтровать текущий журнал», которая расположена в боковой панели справа и в появившемся окне отфильтруйте события как на скриншоте ниже: